绕过CmpCallback
时间: 2023-11-18 10:48:00 浏览: 42
绕过CmpCallback有几种方法可以实现。一种方法是将ntoskrnl.exe(内核)重新加载到内存中,然后调用无SSDT/Inline hook的注册表操作。你可以清零CmpCallback来禁用注册表的监控和拦截。另一种方法是自己实现SSDT注册表函数,然后通过KCBroutine hook来回溯到Cm***Key函数的地址。你可以在这些函数中直接调用Cm***Key函数来绕过CmpCallback的监控。
关于绕过CmpCallback的方法,还有一种思路是通过reghive注册表解析。你可以通过内存爆搜来找到CmpParseKey函数的地址,然后实现相应的逻辑来绕过CmpCallback。
以下是绕过CmpCallback的几种方法:
1. 将ntoskrnl.exe重新加载到内存中,调用无SSDT/Inline hook的注册表操作,清零CmpCallback。
2. 实现自己的SSDT注册表函数,并通过KCBroutine hook回溯到Cm***Key函数的地址,绕过CmpCallback的监控。
3. 使用reghive注册表解析方法,通过内存爆搜找到CmpParseKey函数的地址,实现绕过CmpCallback的逻辑。